题目地址
https://game.fengtaisec.com/#/startQuestions/15
题目描述
某家工厂曾发生过宕机事件案例,为防止再发生此事找了技术人员分析攻击行为流量数据包后发现许多异常端口连接记录,最终得到了这个罪魁祸首的病毒样本,请分析病毒样本尝试复现事件案例帮助工厂实施应急演练,flag形式为 flag{}。
解题思路
下载zip压缩包,解压后里面有这些文件
有个README.md文件和一个.gitignore ,对README.md文件查看
查看标题,直接百度一波
https://github.com/mdudek-ics/trisis-triton-hatman
和文件里文件一毛一样
查了下资料
TRISIS是针对工业控制系统的恶意代码(又名TRITON、HATMAN)列为需要重点分析关注的威胁,并将其命名为"海渊",该恶意代码在中东某石油天然气厂的工业控制系统中被国外安全研究人员发现,根据各方信息判断,由于攻击者准备不充分,尚未对人员及财产造成重大损失。
“海渊”(TRISIS)的目标为施耐德电气公司的安全仪表系统,通过植入固件更改最终控制元件的逻辑以达到攻击目的。其通过Tricon安全仪表系统所使用的TriStation通信协议进行攻击,因此运行此协议的所有安全控制器都可能受到影响。
在github上下载了一个tricotools蜜罐,在ubuntu上搭建。
https://github.com/NozomiNetworks/tricotools
在ubuntu上使用python2运行triconex_honeypot.py,会绑定到本机的1502端口
查看互联网上的相关攻击案例,发现使用python2运行反编译目录下脚本script_test.py,连接搭建的tricotools蜜罐,这里运行题中下载的script_test.py
使用Wireshark抓包进行分析刚才两台主机进行通讯的数据包,按照时间排序,找到192.168.0.106向192.168.0.107第一次建立通讯时的数据,最后几位即为flag
flag{0100000001fc}
